В СССР до конца 1989 года восточные единоборства были запрещены; всех, кто проявлял интерес к этой сфере занятий, участковые брали на заметку, а с желающими поделиться секретами мастерства вели долгие «разъяснительные беседы», а если не помогало, то по ст.219 и ст.153 УК РСФСР («Незаконное обучение каратэ» и «Частнопредпринимательская деятельность») энтузиаста вполне могли «закрыть» на пять лет с конфискацией. Многие оказались за решеткой, по сути, за «монетизацию профессиональных навыков обеспечения физической безопасности», как теперь принято выражаться. Ах, эта романтика «постижения тайного знания» и вечный выбор «правого» или «левого» пути… Впрочем, времена изменились. Теперь всех волнует безопасность информационная.
Почему-то именно эта страничка истории нашего отечества вспоминалась, когда на прошлой неделе устроители хакерских конференций «Black Hat» и «DefCon» обнародовали информацию о том, что голландский журналист Брэнно де Винтер (Brenno de Winter), много лет освещавший ход конференций в различных СМИ, не сможет приехать в этом году, т.к. полиция запретила ему покидать страну. Поводом для санкций явились его выступления по радио и на телевидении, посвященные обнаруженной им уязвимости чип-карт OV (OV transit chip card), используемых для бесконтактной оплаты проезда в общественном транспорте.
Крупнейший голландский оператор единой платежной системы на базе чип-карт OV, компания Trans Link Systems в июне направила в прокуратуру требование привлечь де Винтера к уголовной ответственности за открытую публикацию данных об уязвимостях платежной системы. После 4-часового допроса в полиции Брэнно де Винтера отпустили, дав понять, что за взлом системы платежей он может оказаться за решеткой на 6 лет, и ему – обладателю инструментов и знания, как это делается – не рекомендуется выезжать из страны и сообщать где бы то ни было результаты своих исследований (например, на хакерской конференции).
Надо сказать, что в своей работе журналист руководствовался постановлением Европейского суда по правам человека о том, что журналисты имеют право публично демонстрировать слабые места и уязвимости в технических системах, если вскрытая проблема оказывает существенное влияние на общество и если – внимание! – нарушение закона является единственным способом это осуществить.
Впрочем, голландские судьи на этот счет придерживаются другого мнения. В 2008 г. местный суд запретил одному из университетов публиковать статью об исследовании уязвимостей в чипе смарт-карт Mifare Classic после того, как производитель этих карт NXP Semiconductors (ранее – Philips Semiconductors) потребовал остановить публикацию (между прочим, именно этот чип применяется в OV-картах системы Trans Link Systems).
Что же сделал де Винтер? Он просто взял и поехал на «DefCon 2008» и там… сделал доклад вместо тех трёх студентов, которые открыли уязвимость, позволяющую взламывать платежную систему Бостонского метро.
По мнению исследователей Ponemon Institute, успех борьбы с растущей киберпреступностью во многом будет зависеть от того, сколь высока окажется квалификация «антихакеров» и «на чьей стороне» будут находиться производители систем – замалчивать уязвимости или поощрять исследователей к их поиску. Директор и основатель института Ларри Понемон (Larry Ponemon) отмечает: «С каждым годом плохие парни действуют всё более скрытно, и обнаружить их действия становится всё сложнее. Нам нужны свежие силы». По данным Ponemon Institute, за первое полугодие 2011 года американские компании потеряли из-за действий киберпреступников больше, чем за весь прошлый год. Налицо острая нехватка кадров «киберзащитников».
В отчетах о завершившейся на прошлой неделе в Лас Вегасе 19-й ежегодной хакерской конференции «DefCon» большинство экспертов, единодушно назвали «деятельность в области безопасности компьютерных систем» одной из самых перспективных на ближайшие годы форм – да, да! – превращения личной программистской квалификации в «кэш». Вот только, по какую «сторону баррикад» будет протекать эта самая деятельность?..
Но, пожалуй, главной особенностью нынешней конференции стало то, что в рамках «взрослой» «DefCon» в этом году прошла первая детская хакерская конференция «DEFCON Kids». По информации организаторов, «DEFCON Kids» ориентирована на детей в возрасте от 8 до 16 лет.
На детской конференции проводились те же мероприятия, что и на «взрослой», включая караоке и соревнования по алкогольным коктейлям. И, конечно же, читались доклады, посвященные взлому систем; представитель Музея криптологии Агентства национальной безопасности США (NSA National Cryptologic Museum) Дженнифер Уилкокс (Jennifer Wilcox) привезла реальный, работающий образец немецкой шифровальной машины Enigma и предложила желающим «попробовать свои силы в шифровании и взломе кода».
Приехали высокопоставленные чиновники федеральных структур, непосредственная работа которых заключается в противодействии киберпреступности. С начинающими хакерами пообщались: Кристофер Клири (Christopher Cleary) из Киберкома (Cyber Command) – один из немногих офицеров, причастных к планированию боевых операций в компьютерных сетях; Линтон Уэллс (Linton Wells) – директор Центра технологии и политики национальной безопасности (CTNSP) при Национальном Университете обороны США; Тони Сагер (Tony Sager) – начальник Группы анализа уязвимостей (VAO Group) Управления обеспечения сохранности информации в Агентства национальной безопасности США; Ричард Маршалл (Richard H.L. Marshall) – руководитель Управления глобальной кибербезопасности в Департаменте собственной безопасности США; агент Дарон Хартвигсен (Daron Hartvigsen) Управления специальных расследований и кибербезопасности (HQ AFOSI) штаба ВВС США.
Украшением конференции стал доклад 10-летней участницы из Калифорнии, известной под «ником» CyFi, открывшей уязвимость ряда онлайн-игр, запускаемых на мобильных устройствах под iOS и Android. Эксперты признали, что очаровательная хакерша отыскала новый класс уязвимостей, связанных с взаимодействием системных часов и игрового приложения.
Оргкомитет неоднократно напоминал родителям, решившим приехать с детьми, что «DefCon» – очень взрослая конференция, по форме это скорее тусовка, чем академическое мероприятие. Здесь много ненормативной лексики, алкоголя и даже наготы. Мы не пытаемся напугать, но предлагаем постараться понять среду, в которую вы помещаете вашего ребенка». А в ходе неформального общения с журналистами, один из основателей «DefCon» признался, что главным достижением конференции считает ее «доброжелательную ауру, уходить из которой в деструктивные сообщества вряд ли кому-то захочется».
Юрий Романов